※ 引述《supermars (讨论时冷静占上风)》之铭言： : ※ 引述《prussian (prussian)》之铭言： : : 摸拟磁条这种几十年前的产物叫作先进我是持保留啦 : 恩，磁条本体跟NFC模拟磁条是两码子是喔XD : 依照你这句话，我是否可解读成你这是想要开战火的意思吗? 可能我的说法有问题，我再试着重复说一遍好了 看这样能不能比较好懂 摸拟 磁条这种几十年前的产物 叫作先进 我是持保留啦 还有我打错字了，是模拟不是摸你 QQ 要依照自己的解读来战，我也没办法。请自便。 : : 毕竟磁条都是明码，在没看到卡的情形下的确和盗刷集团拿着白卡来刷有87分像 : : 天晓得你手上的是真***还是ROOT过装满卡号的车机 : : 首先，你要先证明刷卡者是盗刷集团啊! : : 不然依照您这样担心受怕的思维，磁条可是最容易被盗刷&COPY复制卡片的呢XD : 你又怎知拿出实体卡片就一定是真卡? : : : 您知道特约商店店员是被要求要辨识卡片真伪，还要照卡机指示扣卡的吗 : : 接触和非接触式信用卡晶片目前的加密安全性还足够， : : 不太会有伪卡的问题，店家要承担的盗刷损失风险非常低 : : 依照同样协定和加密沟通的手机感应PAY自然也没有太大的问题 : : 但不晓得哪来的有没有ROOT过的手机说没有卡要直接给你呼噜一下卡机 : : 您知道这个安全性问题的重点不在实体磁条还是模拟磁条吗XD : : 原PO是遇到实体卡与模拟MST的疑惑、并非指控原PO为盗刷集团， : 同时，你知道不论是NFC或MST透过手机支付後都看不到完整实体卡片的号码吗? 所以店员如果无法证明这种没看过的东西是正牌的， 安全起见不给刷也是很合理的。 如果真的是盗刷，店家是要自己吞下去的啊。 NFC 一开始也是一堆不给刷，不过後来大家都知道NFC很安全 MST 一样需要要说服店家它很安全 MST这种方式下，磁条卡交易该作的，验证卡片和持卡人真伪都无法作。 所以店员不晓得模拟磁条的方式能不能接受， 警觉一点的店员拒绝给你试是很合理的。 只要***大气一点说，「凡是证明是我家手机MST刷的， 因此被盗刷的损失通通由我负」 店家一定会很乐意刷的。 然後下一次变成 要证明手机不是山寨的 XD (how?) 晶片卡和感应卡的传输过程中，除了明码卡号和到期日等，还会用公私钥签章验证讯息， 证明目前交易的卡号，的确属於目前正在用合法钥匙讲话的这张晶片卡， 而钥匙本身不会在交易传输过程中传输。 所以即使被侧录到一次交易讯息，也无法直接复制成可用的卡片。 而因为有密码学背书验证传输卡号的正确性合法性， 所以晶片卡、感应卡可以让你自己插卡机、拍卡机， 连卡都不用验还可以小额免签名。因为数学帮店家验证过卡片了。 所以现在知道的店家都很放心让你自己感应 磁条讯号就是只有卡号到期日。要如何证明卡号是真的还是侧录来的? tokenization透过网路送到後端可以加强验证， 确认这个虚拟卡号的确是先前发出的token，而且目前还是有效的。 但是如果 MST 只是模拟传了一个实体卡的卡号呢? 卡机及 POS 无法分辨它是实体卡还是模拟讯号。 而因为是实体卡卡号，不会被当成 token 走验证过程 事实上也没 token 资料可以验证。 那如果这个复制实体卡来的卡号，好死不死又是被非法侧录的呢? MST 的原开发者 LoopPay 变成星形之前自己曾经卖过的商品 LoopPay Card https://www.looppay.com/products/#looppay-card https://youtu.be/QFQfxfeIv6M 基本上就是复制磁条，再原样原卡号用MST发送 以店家的角度，就跟白卡没什麽两样。 你要如何证明MST发送的卡号，真的是你的，不是你买来的? 店家可以睁一只眼闭一只眼让你刷，不代表他就一定要让你刷。 这就像你自己买白卡买磁条读卡机录制机自己写白卡 卡号是你的没错，可以挑战说服店家看看要不要让你刷白卡 喔对了，Tokenization 之所以叫token， token 是会变动有时效的 你看到手机上写虚拟卡号 123456******7890 不代表它只有一组卡号 事实上每一组****** 是有使用时效、次数、和总金额限制的。 这一点不管是applepay se, HCE 的云端，***的MST都是类似的tokenization 所以HCE才会有需要连网 reload 的限制 而 *** 因为磁条讯号更危险，只有卡号明码没有额外签章验证， 所以更严格限制一组 token 只能用一次60秒 : : 隔空吐一些明码没加密谁都可以侧刷复制或凭空生出来的磁讯号来刷卡 : : 如果你是商家.. 我想你刷客人的磁条时一定也不会看雷射防伪标签的对吧 : : 盗刷集团用的方式并非你"想的那样单纯"唷~ : : 照你的言论来看问题点完全不在NFC感应、晶片、磁条上阿... : 还是你以为伪卡集团那麽笨? : 或是... : 你以为NFC感应或晶片就完美不会被盗刷吗? 可以请教一下感应或晶片有盗刷的实例吗? 磁条倒是很多 喔你底下也说没实例了，了解~~ 磁条读卡机不会分是卡片或 MST，所以只要教会MST吐实体卡号 技术上假冒正卡是完全可行的 而也不需要手机ROOT，弄个 LoopPay Card 就有得发讯 (虽然现在应该买不到了 QQ : 与其想的那麽多，倒不如鸟的手机不要给别人知道密码解锁後消费吧XD : 或是，信用卡背後签名与食记签名的人不同的盗刷手法~ : : 贴心提醒一下~千万不要为了反而反唷~ :

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.162.59.8 : ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1528214414.A.1CD.html : 推 hms5232: 我认为上篇作者根本没搞懂MST技术 06/06 00:02 : 他写文的感觉让我觉得他是讨厌三星为前提引申出来的假议题回文~ : 嘛~那是我个人的感觉。 嘛~那是你个人的感觉~ : → nadoka: 磁条伪卡是真的很多 但手机伪卡到现在还是科幻情节吧 06/06 00:03 : 传统磁条一直都是盗刷集团下手的目标，比较常看到的新闻都是在讲加油站员工的情节。 : 其他盗刷，都是网路上资安方面钓鱼网站之类的偷你卡号~ : 好像还没看过感应式手机行动支付(三大PAY)或是实体卡片的插入式晶片or实体卡片感应 : 被盗刷的新闻。 所以没说手机是用NFC盗刷啊。我一直在说磁条讯号不是吗? 事实上接触式和非接触式晶片就像上面说的，有数学保护。 手机pay NFC 到卡机之间走EMV 非接触方式，手机必须和感应卡讲一样的话 所以NFC 虚拟卡一样有钥匙验明正身 MST到卡机之间走几十年历史的磁条，一样无法自己验明正身 必须靠店员转卡片看雷射标签和签名来验身 所以说无法让店员验身的发讯机器，对店员来说和白卡是同等地位 而 *** 手机有没有公信力，能不能验身，要问 *** 啊 怎麽不是 *** 去说服店家，而是听一个不知道哪来的客人说法呢? : 推 hms5232: 三大Pay都是代码化或HCE技术 感应或MST後刷卡机要回去 06/06 00:09 : → hms5232: 银行解密 有的甚至连你手机的型号都会记录 不符就不过 06/06 00:09 : 推 nadoka: MST的卡号也是虚拟卡号吧 不管怎样都须要走解密 06/06 00:10 : → hms5232: 加上使用前还要密码或生物验证 基本上我认为比实体卡安全 06/06 00:10 : : 会不会记住手机型号到不是很确定，不过安全性方面基本上不用想太多~ : 当初参加01活动时就有说明到SP的安全性 : https://www.wanghenry.com/2017/07/SAMSUNG-PAY.html : (倒数第二张图) 业配当然不会跟你说我家 MST 不安全啊 以下和上面讨论的店家验证方式没有直接相关， 是属於使用者端侧录 MST 的攻击方式 不过既然提到安全性问题 我们来看一下第三方的说法好了 反正你都说我为反而反了，不差这一个是吧 那就来看看模拟磁条讯号为什麽危险 为什麽即使 *** 限制使用方式限制得很严格还是危险 韩国研究 Eavesdropping one-time tokens over magnetic secure transmission in Samsung Pay 论文 https://www.usenix.org/system/files/conference/woot16/woot16-paper-choi.pdf 投影片 https://www.usenix.org/sites/default/files/conference/protected-files/woot16_slides_choi.pdf 影片 https://youtu.be/7VsHbrtPs0c "可以在两公尺范围接收到 MST 发出的磁场讯号" "透过网路传送到他方，抢在受害者刷卡之前使用接收到的token 卡号交易是可行的" "因为消费者常常在等待刷卡时就先开启 MST 晃啊晃的" "从 MST '背後'的角度收到的讯号最强最远" MST NFC 卡号 明码 明码 验证卡片合法 无 公钥签章 验证卡号合法 token token 侧录讯号 2M 4~10cm 侧录资料 交易可行性 Y ? --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.8.250 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1528299167.A.11A.html